如何防御分布式拒绝服务DDoS的攻击

分布式拒绝服务(Distributed Denial of service)简称DDoS,很多DOS攻击源一起攻击某台服务器就组成了DDoS攻击,攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在Internet上的许多计算机上,代理程序收到指令时就发动攻击。

DDoS是英文Distributed Denial of Service的缩写,中文意思是“分布式拒绝服务”。 是目前黑客经常采用而难以防范的攻击手段。那什么又是拒绝服务呢?用户可以这样理解,凡是能导致合法用户不能进行正常的网络服务的行为都算是拒绝服务攻击。拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问。

  黑客们通过很多“傀儡主机”向远程计算机发送大量看似合法的数据包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。分布式拒绝服务攻击一旦被实施,攻击数据包就会犹如洪水般涌向远程计算机,从而把合法的数据包淹没,导致合法用户无法正常地访问服务器的网络资源,侵害合法用户的的利益。

DDoS的表现形式主要有两种,一种是流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法的网络数据包被虚假的网络数据包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机进行的攻击,即通过大量的攻击包导致主机的内存被耗尽,或是CPU被内核及应用程序占完而造成无法提供网络服务,这些攻击都会给合法用户带来极大的损失。聪明的黑客还会让这些僵尸计算机伪造发送攻击数据包的IP地址,并且将攻击目标的IP地址插在数据包的原始地址处,这就是所谓的反射攻击。服务器或路由器看到这些资料包后会转发(即反射)给原始IP地址一个接收响应,更加重了目标主机所承受的数据流。

DDoS的攻击类型目前主要包括三种方式,即TCP-SYN Flood攻击、UDP Flood攻击以及提交脚本攻击。

那么面对这些DDoS的攻击我们能做些什么呢,如何降低被攻击的可能行呢?下面的防范方法可以给你答案。

1、确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。对一些重要的信息(例如系统配置信息)建立和完善备份机制。对一些特权账号(例如管理员账号)的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。

2、删除多余的网络服务,在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。建立边界安全界限,确保输出的包受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志。如果你是一个单机用户,可去掉多余不用的网络协议,完全禁止NetBIOS服务,从而堵上这个危险的“漏洞”。

3、自己定制防火墙规则,利用网络安全设备(例如:硬件防火墙)来加固网络的安全性,配置好这些设备的安全规则,过滤掉所有可能的伪造数据包。

4、确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统――甚至是受防火墙保护的系统。

5、禁止内部网通过Modem连接至PSTN系统。否则,黑客能通过电话线发现未受保护的主机,即刻就能访问极为机密的数据。

6、禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口令,而Telnet和Rlogin则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。

7、限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。

8、在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。

9、检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更,几乎可以肯定:相关的主机安全受到了危胁。

10、确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么?谁在使用主机?哪些人可以访问主机?不然,即使黑客侵犯了系统,也很难查明。

虽然DDoS攻击不可避免,但相信做到以上十条,你就可以比别人更加远离DDos的攻击,保证合法用户的网络畅通。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

最新SMB僵尸网络利用了7个NSA工具,而WannaCry只用了两个……

近日,研究人员检测出了一种新的蠕虫正在通过SMB传播,但与WannaCry勒索软件的蠕虫有所不同,这种蠕虫病毒使用了7种NSA工具,而WannaCry仅使用了两...

21910
来自专栏黑白安全

Autho 身份验证出现漏洞,致使企业遭受攻击

Auth0 是最大的身份即服务平台之一,近日被爆出存在严重身份验证绕过漏洞,该漏洞可能被攻击者利用访问任何门户或应用程序进行身份验证。Auth0 为大量平台实施...

802
来自专栏FreeBuf

一个有20年历史的SMB漏洞:一台树莓派就能DoS大型服务器,微软表示不会修复该漏洞

绝大部分 DoS 攻击,一般来说都是目标系统收到大量服务请求,最终导致拒绝服务状态。实际上,随着技术的发展,如果要让现在的系统“拒绝服务”,是需要海量请求配合的...

3444
来自专栏安恒信息

干货 | Intel CPU漏洞分析与安恒信息产品影响解读

综述 近日,Intel CPU中曝出Meltdown(熔断)和Spectre(幽灵)两大新型漏洞,包括Intel、AMD、ARM等主流CPU在内,几乎...

28111
来自专栏安恒信息

邮箱服务安全专题 | 邮箱安全网络和主机漏洞扫描先行

上一篇文章我们介绍了邮箱发现的工具、手段和方法,从今天开始我们会逐步介绍保障邮箱安全的服务方式,大家可以根据文章描述的层面和角度自行管理,当然,由于整体工程的复...

32915
来自专栏黄希彤的专栏

部署在腾讯云的公益网站遭受了一次 CC 攻击

攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装就叫:CC ( ChallengeCollapsar )。本文记录了面对黑客攻击的排查以及解决...

2.1K2
来自专栏SDNLAB

Cisco&白盒交换机中存在安全漏洞

Cisco 网络黑客可以通过个别安全漏洞控制运行在白盒交换机或Cisco交换机上的网络,一个安全研究员声称运行ONIE安装实用程序的白盒SDN交换机存在严重的安...

3194
来自专栏黑白安全

如何劫持大疆Spark无人机

对于我们每个人来说,被犯罪分子骗走血汗钱那肯定是件很悲伤的事。随着物联网(IoT)的快速发展,可远程控制的设备已成为我们日常生活中不可或缺的一部分。但在享受方便...

1212
来自专栏安恒信息

干货分享 | 几种典型勒索病毒事件应对与处置案例

自5月12日“永恒之蓝”勒索病毒大面积扩散以来,安恒信息为保障客户资产安全,对所有客户第一时间提供安全预警;同时加班加点生产200多台明御APT攻击(网络战)预...

3326
来自专栏黑白安全

渗透测试的8个步骤

渗透测试这个事情不是随便拿个工具就可以做了, 要了解业务还需要给出解决方案 。之前安全加介绍了金融行业 实战微信银行渗透测试, 运营商 渗透测试实战 ,今天让我...

732

扫码关注云+社区